民航數據網傳輸加密算法研究

段 偉

（民航中南空管局通信網絡中心 廣東 510405）

0 引言

為了滿足民航日益增長的航班量需求，就必須全面推進民航航班的統一協同決策，以進一步提高運行效能。然而，隨著民航一體化進程不斷深入，民航數據網在其中扮演的角色將愈發重要，它承擔著全國民航數據信息的傳輸，可以說是民航新信息時代的生命線，其承載數據的保密性、完整性、不可篡改性更顯得尤為重要。為保證數據安全，一般會將防火墻、入侵檢測、物理隔離等被動安全措施，結合加密傳輸、漏洞掃描、安全通道等主動安全措施。其中，對傳輸數據進行加密是一種最基本也是最有效的數據安全保障技術。

然而，民航數據業務卻不僅僅要求高安全性，還必須在實時性方面滿足航班運行。因此，民航數據網作為所有業務的基礎承載網絡，在保證數據傳輸過程安全的同時，還必須確保其傳輸的高效性。所以民航數據網傳輸加密算法就必須同時兼顧數據加密傳輸的安全和效率。

1 相關的加密算法

1.1 對稱加密算法

作為最傳統的加密算法，對稱加密至今仍由廣泛的使用。其主要特點是：收發端在加解密過程中使用完全相同的密鑰。對稱加密算法加密時將未加密的信息（明文），通過使用一個對稱密鑰進行加密運算后，得到加密后的信息（密文）。解密過程是與之相反的逆過程，使用同一個對稱密鑰對密文進行解密運算后得到明文。然而，這種算法機制比較單一，其安全性主要體現在密鑰的管理和傳遞。

對稱加密體制主要包括：密鑰、加密算法、明文和密文。在對稱加密算法中，DES和AES算法使用最為廣泛，具有典型的代表性。

1.2 非對稱加密算法

非對稱密碼算法是在試圖解決對稱密碼算法中面臨的密鑰分發保存問題、無數字簽名問題的過程中發展起來的。相對傳統的對稱加密算法，其主要特點是：在加密和解密過程中使用不同的密鑰，加密使用公鑰，是公開的，解密使用私鑰，是保密的。與傳統的對稱加密體制相比。公鑰密碼體制有著本質的不同。傳統的對稱密碼只需要一個密鑰，而非對稱密碼則需要公鑰、私鑰兩個密鑰，且通過函數計算得出。

非對稱加密體制主要包括：公鑰、私鑰、加密算法、明文、密文。這種公鑰體制的出現在人類信息加密歷史中是一個極大的突破。而在公鑰體制中，最著名和常用的是RSA算法。

1.3 不可逆加密算法

與對稱和非對稱加密算法不同，不可逆加密算法并不需要密鑰，也不存在所謂的解密。其主要特點是：明文輸入后由系統直接經過加密算法處理成密文，這種加密后的數據是無法被解密的，只有重新輸入同樣的明文，并再次經過同樣不可逆的加密算法處理，得到相同的加密密文并被系統重新識別后，才能真正解密。簡單來說，這種加密算法得出只是明文對應的特征摘要，系統只是再次驗證明文輸入后的這一過程，只要判斷前后兩次的特征是否一致，即能確定明文是否正確。

不可逆加密體制主要包括：加密算法、明文和密文。常見的有MD5算法。

2 算法適應性分析

對稱加密算法由于用于加解的密鑰是相同的，其密鑰傳輸不能得到安全保障，使其整體安全性能較低。但得利于簡單的算法，帶來加密效能高、計算開銷小的優點，使其更適合傳輸網絡加密，但要想構建數據安全性要求較高的民航數據網，還必須輔以更加安全的密鑰交換方式作為補充。

從數據傳輸網角度來看非對稱加密算法，由于其用于加密的公鑰，與用于解密的私鑰并不相同，使得其在安全度上非常適合傳輸網絡。但由于RSA的分組長度太大，使得計算復雜，導致加密解密速度過慢，只適合小容量的數據加密，并不能直接用于數據容量較大、對數據傳輸效率要求較高的民航數據網。

不可逆加密算法的不可逆性使得其只能作為特征驗證、數字簽名、指紋等用途，雖然已經廣泛應用在計算機系統中的口令加密，也是我們日常接觸到最多的加密算法，但由于其不能逆轉得出數據明文，顯然并不適合作數據網傳輸加密直接使用，但可以作為數字簽名用于補充驗證傳輸前后數據是否被篡改。

3 民航數據網傳輸加密算法

設計思路是：由于對稱加密解密速度快，但密鑰安全風險較大，通過采用非對稱加密算法針對對稱加密的密鑰部分進行加密傳輸。這就將主要數據的加解密過程交給效率高的對稱加密算法，而對稱加密算法產生的小數據量密鑰則通過安全性高但效率低的非對稱加密，并輔以不可逆加密算法的數字簽名驗證，確保民航數據網傳輸的高效、安全和完整。

具體的過程是：數據明文經DES密鑰加密生成基礎數據密文；將DES密鑰利用RSA公鑰加密生成密鑰密文；將基礎數據密文和密鑰密文直接接續形成基礎傳輸數據；再將基礎傳輸數據 MD5得出數字簽名；再次接續形成傳輸數據；經過傳輸接收方收取后拆分出數字簽名和基礎傳輸數據；進行數據傳輸完整性驗證；驗證成功后將基礎傳輸數據進一步拆分得到基礎數據密文和密鑰密文；再利用接收端的RSA私鑰將密鑰密文解密得到DES密鑰；最后用DES密鑰解密基礎數據密文還原出數據明文。詳細過程如圖1所示：

圖1 民航數據網傳輸加密算法加解密過程圖

4 算法效果分析

在加密性方面，攻擊者即便在傳輸過程中獲取到了傳輸數據，甚至知道了預定義的數字簽名、密鑰密文長度，成功分離出所破解需要的基礎數據密文和密鑰密文，因無法取得并不用于傳輸的RSA私鑰而無法解密出DES密鑰，使得數據加密無法被破解。數字簽名也保障了數據完整不被篡改。

在效能安全方面，算法綜合了對稱和非對稱加密算法的優點，利用對稱加密算法的高效性處理大量的傳輸數據，保證了傳輸網絡的低延時要求，再利用非對稱加密算法的不可破解性，彌補了對稱加密密鑰傳輸的安全問題，全面實現了民航數據傳輸網絡的高速穩定、可靠安全。

5 結束語

在以效率為基礎，使用對稱加密算法為數據加密基礎的模型中，通過對其密鑰進行非對稱加密算法改進，很好的克服了對稱加密算法加密安全性不足的缺點，還保持了對稱加密的高效性，再通過不可逆加密算法補充了數據完整性的驗證。這種模型是非常適合民航數據網大數據量的、高安全性要求的網絡傳輸。

[1]蔡皖東.計算機網絡技術[M].西安電子科技大學出版社.1999.

[2]朱文余，孫琦.計算機密碼應用基礎[M].科學出版社.2000.

[3]周溢輝.RSA算法在信息安全中的應用分析[J].科技信息.2008.